|
|
Обзор подготовлен
При поддержке
Исследование российских компаний, предоставляющих услуги в области информационной безопасности, показывает, что стабильного положения пока не наблюдается ни в одной из групп сервисов. Это говорит о наличии стимулов дальнейшем развития и изменения рынка, поскольку его стабилизация пока не достигнута.
Российский рынок информационной безопасности продолжает расти и развиваться. Предложение технических решений в свое время стало отправной точкой для развития сферы ИБ и достаточно долго отношение к информационной безопасности формировалось именно с позиции технических вопросов. В качестве дополнения к решениям предлагались такие сопровождающие услуги, как проектирование, установка, настройка и техническая поддержка, то есть услуги, которые непосредственно связаны с реализацией решений и обеспечением их рабочего состояния.
Сейчас ситуация на рынке меняется: многие заказчики стали более грамотно подходить к проблеме обеспечения ИБ, и технические решения сами по себе уже не представляют такого интереса. Происходит постепенная интеграция бизнеса и технологий. Обеспечение информационной безопасности становится одной из бизнес-функций, позволяющей организациям вести свою деятельность. Свою роль здесь играет распространение в России идей международных стандартов, ориентированных на бизнес-цели, процессный подход, вовлечение руководства и т.д.
Существенные изменения в сегменте услуг информационной безопасности рынка заметны даже за такой сравнительно небольшой период, как последние год–полтора. При этом они затронули как спрос, так и предложение. Второе исследование сегмента сервисов ИБ, проведенное специалистами "Элвис-Плюс", позволяет проанализировать динамику и вектор перемен. Методика исследования практически не изменилась, а основным источником данных, как и раньше, послужили корпоративные сайты и рекламно-информационные материалы компаний. Акцент сейчас в первую очередь будет сделан на изменениях, относящихся к игрокам рынка.
В этот раз выборка компаний для проведения исследования выросла более чем в 2,5 раза и достигла 70 компаний, выбранных из 175 наиболее активных участников рынка ИБ. В относительном выражении увеличение числа участников исследования составило около 40%. Критерием выбора в первую очередь стало наличие информации о предлагаемых услугах на сайтах компаний и (или) в информационных материалах. Эти цифры подтверждают перспективность и привлекательность рынка услуг ИБ, причем игроки понимают эту привлекательность и прилагают значительные усилия для выхода на рынок.
Практически все игроки этого сегмента рынка позиционируют себя как системные интеграторы. Две трети из них ориентированы на сферу ИТ, еще треть специализируется исключительно на сфере ИБ. По сравнению с предыдущим исследованием доля ИБ-интеграторов, попавших в выборку, падает при увеличении их количества.
В "Элвис-Плюсе" полагают, что и в дальнейшем эта тенденция сохранится, поскольку она во многом отражает постепенное объединение ИТ- и ИБ-решений. Это, впрочем, уже неоднократно отмечалось в различных аналитических и экспертных материалах.
Как известно, практически на любом рынке для поддержания и увеличения существующих объемов выручки компаниям требуется расширение сферы деятельности, желательно за счет перспективных направлений. ИТ-компании, выбрав такое перспективное направление, как оказание услуг в сфере ИБ, расширяют тем самым свой продуктовый портфель. Все чаще встречается предложение строительства "под ключ" информационных систем, уже учитывающих требования ИБ. Немалую роль здесь играет быстро развивающаяся практика продаж комплексных решений вместо отдельного набора продуктов и услуг, отражающая принципы комплексного подхода.
Но здесь возникает вопрос, ответ на который пока весьма неоднозначен: за счет каких трудовых ресурсов ИТ-компании смогли в столь сжатые сроки подготовить базу для оказания услуг ИБ? Ведь, как известно, оказание услуг ИБ (особенно экспертно-аналитического плана) требует наличия специальных знаний и, что весьма важно, практического опыта, который просто невозможно приобрести за столь малый срок и без реализации хотя бы нескольких крупных проектов. При этом не стоит забывать, что количество ИБ-компаний и их размеры неуклонно растут, и там тоже нужны высококвалифицированные опытные специалисты.
Конечно, обучение новых кадров для сферы ИБ проводится постоянно, что подтверждается популярностью образовательных услуг и учебных центров. Но не стоит забывать о такой важной составляющей квалификации специалиста, как наличие практического опыта реализации проектов в области ИБ. А у только что обученного "с нуля" персонала опыт отсутствует. И следовательно, оказание той или иной услуги в области ИБ будет сводиться к технической (механической) реализации без аналитической составляющей. Таким образом, обеспеченность компаний соответствующими кадрами для выполнения работ по заявленным в предложениях услугам является сейчас весьма актуальной проблемой.
Очевидно, что привлекательность работы на данном сегменте рынка ИБ вынуждает компании применять различные способы выхода и работы на рынке, от расширения спектра предложений до "дружественного" слияния крупного ИТ-интегратора с достаточно успешной ИБ-ориентированной компанией. Последний факт также свидетельствует о поддержке и развитии комплексного подхода к реализации ИТ-проектов, причем обеспечение ИБ проектируемой информационной системы рассматривается как неотъемлемая часть всего ИТ-проекта.
Есть основания предполагать, что часть компаний расширяет свою деятельность в области услуг ИБ пока лишь только номинально, с целью застолбить свое место в этой нише. А вопросы оказания услуг предполагается решать в рабочем порядке, по мере их поступления. Например, за счет привлечения на подряд и субподряд тех же ИБ-интеграторов, имеющих необходимые трудовые ресурсы и опыт, но не всегда способных победить в тендерах на реализацию крупных проектов в силу тех или иных причин.
В дальнейшем такая ситуация при определении объема рынка услуг ИБ может вызвать некоторое его преувеличение. С точки зрения потенциального заказчика в сложившейся ситуации весьма важным аргументом при выборе исполнителя может стать наличие у потенциального исполнителя практического опыта оказания той или иной услуги.
Чтобы оценить изменения, произошедшие на рынке услуг ИБ, все компании, вошедшие в исследование, разделены на две категории: "старые" и "новые". "Старые" компании — это организации, присутствовавшие в предыдущем исследовании. Таких набралось около 40% от общего количества. Стоит отметить, ни одна из этих компаний не покинула этот рынок. Более того, у большинства из них спектр предлагаемых услуг расширился. Это еще раз подтверждает популярность и перспективность рынка услуг ИБ, осознанную его игроками.
Доля "новых" компаний, то есть организаций, вновь вошедших в выборку, составляет около 60%. Есть еще ряд компаний, не попавших в рассматриваемую выборку, но, тем не менее, достаточно плотно соприкасающихся с рынком услуг ИБ и обладающих своей спецификой. Так, часть системных интеграторов предлагает услуги по аутсорсингу систем ИБ, при этом не осуществляя (по крайней мере, в открытых информационных материалах) внедрения решений в области ИБ. Другие компании предлагают готовые ИБ-решения, не предоставляя услуг в данной сфере. В основном такая ситуация наблюдается у крупных региональных системных интеграторов в сфере ИТ.
Выход компаний на рынок услуг ИБ можно смело назвать массовым, причем отчасти стихийным. Так, при анализе информационных и рекламных материалов встречаются случаи практически полного цитирования описаний услуг. Это может свидетельствовать как о нехватке внимания к уровню и качеству предоставления информации, так и о недостаточной квалификации соответствующих сотрудников.
Еще одной причиной поверхностного отношения к информационному наполнению материалов может быть формальный подход, то есть включение услуг в предложение компании в качестве дополнительного конкурентного преимущества, не имеющего реального основания ("чтобы было как у всех"). Кроме того, преемственность в названиях и описаниях услуг среди компаний, относительно недавно вышедших на рынок услуг ИБ, может объясняться развитием по пути заимствования и некой стандартизацией рынка услуг ИБ.
Стоит отметить, что формулируя свои предложения, некоторые компания просто сообщают об оказании "полного комплекса услуг". Такой подход может свидетельствовать о том, что услуги ИБ вряд ли рассматриваются как серьезное направление деятельности компании.
Тем не менее, в целом качество подачи информации в рекламно-информационных материалах значительно улучшилось. Компании, ориентирующиеся на развитие этого направления услуг, размещают наиболее полные описания предлагаемых работ, выполняя, таким образом, и просветительскую, обучающую функцию.
При анализе различных специализированных периодических изданий (как электронных, так и печатных) наблюдается значительно возросшее число публикаций и материалов аналитического и рекламного характера, касающихся услуг, особенно сравнительно новых видов, относящихся к дополнительной и экспертно-аналитической группе. Но вернемся к игрокам рынка и тенденциям их развития.
Стоит отметить, что в среднем "новая" компания младше "старой" на четыре года (время основания компаний — 1993 и 1997 гг. соответственно), что свидетельствует об ускорении темпов выхода игроков на рынок услуг.
Кроме того, наблюдается активизация компаний, работа которых ориентирована на конкретные отрасли (пока чаще всего на кредитно-финансовую сферу), что отражается в их спектре услуг (например, предлагается проведение аудита на соответствие требованиям стандарта Банка России, стандартов для платежных систем и т.п.). При этом примерно у 26% компаний (в основном — среди ИТ-интеграторов) присутствует классификация предлагаемых решений и услуг по сферам деятельности перспективных клиентов.
В предыдущем исследовании было выделено шесть групп игроков, сейчас же можно выделить лишь две, что вызвано значительным сокращением различий между участниками рынка. Итак, "старые" компании можно разделить на две группы. Первую из них составляют "универсальные" предприятия, оказывающие практически все виды услуг за исключением сертификационных испытаний оборудования и ПО, где необходимо наличие специальной лаборатории. Доля таких компаний составляет 52%.
"Специализированные" предоставляют в основном услуги технической направленности: технико-аналитические и, частично, экспертно-аналитические услуги, носящие технический характер, для реализации которых требуется наличие специализированных лабораторий, лицензий и сертификатов. Таких компаний — 37%.
Незначительное количество "старых" компаний (около 11%) сохранило относительно небольшой спектр "технических" услуг (технико-аналитические, аутсорсинг и обучение по техническим направлениям). Среди этих компаний есть и ИТ-, и ИБ-ориентированные.
"Новые" компании тоже можно разделить на две группы. В одной из них те, кто присутствовал на рынке ИБ или ИТ, не предлагая на последнем услуг в сфере ИБ. Они ориентируются в основном на услуги наиболее близкие к продажам отдельных продуктов и решений (технико-аналитическая группа). Причины отсутствия в предложениях таких компаний услуг экспертно-аналитической и дополнительной групп, видимо, частично кроются в отсутствии высококвалифицированных специалистов либо специальных сертификатов или лицензий, получение и поддержание которых достаточно затратно.
Во вторую группу "новых" компаний вошли организации, только появившиеся на рынке ИБ и оказывающие в основном услуги консультационной направленности. Часть из них состоит всего из нескольких человек, обычно высококвалифицированных специалистов, достаточно известных на рынке ИБ. В предложении таких компаний обычно представлен неполный набор услуг из "базового ядра", а преобладает экспертно-аналитическая группа.
Кроме того, различные аспекты, связанные с обеспечением ИБ, становятся весьма популярным направлением обучения (и, соответственно, программ) у учебных центров, ориентированных на ИТ-направление.
Для дальнейшей оценки деятельности компаний — игроков рынка услуг ИБ - был введен показатель, отражающий полноту спектра оказываемых услуг — коэффициент оказания услуг. Он определяется как отношение количества предлагаемых услуг к их количеству в полном спектре услуг рынка ИБ (всего же в нашей классификации на сегодняшний день присутствует 14 видов услуг).
Данный показатель, рассчитанный для "старых" компаний, в среднем составил 72% (диапазон значений коэффициента от 50% до 86%), а для "новых" компаний — лишь 39% с диапазоном от 21 до 71%. Полученные значения показателей говорят сами за себя.
Необходимо отметить, что всего спектра услуг по-прежнему не оказывает ни одна компания, а среди "старых" компаний еще сохранились игроки с достаточно узкой специализацией (оказывающие два–три вида услуг), но их количество постоянно сокращается. С помощью введенного коэффициента, игроки рынка услуг ИБ были разбиты на три основные группы. В первую группу вошли компании, у которых значения коэффициента оказания услуг менее 50%. Во вторую — те, у которых значения лежат в диапазоне от 50 до 71% включительно. И наконец, те, у которых значения коэффициента превышают 71%.
Классификация компаний на рынке ИБ услуг
Источник: "Элвис-Плюс", 2008
В группу №1 вошли представители только "новых" компаний, причем большинство (около 56% от общего их числа) "новых" компаний оказалось именно в этой группе. Для них характерно наличие услуг технической направленности. Об оказании экспертно-аналитических услуг эти игроки даже не заявляют. Чуть более половины компаний этой группы оказывают один вид дополнительных услуг, в основном консультационной направленности, при этом лишь одна компания заявляет об оказании услуг по аутсорсингу.
Стоит заметить, что все компании этой группы либо продают свои продукты, либо, имея собственный удостоверяющий центр, предлагают его услуги. Причем год выхода этих компаний на рынок: конец 80-х — начало 90-х годов прошлого века. Скорее всего, для них выход на рынок услуг ИБ стал необходимым шагом для расширения своей деятельности. Здесь понятна и техническая направленность: при разработке и сопровождении собственного продукта в штате компании обязательно должны находиться грамотные технические специалисты. Как, впрочем, и при оказании услуг удостоверяющего центра.
Большинство компаний имеет единственный офис — центральный - и не располагает представительствами в областях. Исключение составляют региональные компании, у которых помимо головного офиса есть еще как минимум по два представительства в других федеральных округах. Под региональными игроками понимаются компании, головной офис которых расположен не в Москве и Московской области. Такая ситуация может говорить о том, что при работе в регионах пока еще не требуется полный спектр услуг — вполне достаточно и "базового ядра".
Очевидно, что состав участников этой группы наименее стабилен, поскольку для многих эта группа — определенный рубеж выхода на рынок услуг ИБ. Видимо, время, выигранное "новой" компанией при выходе на рынок (четыре года — шесть лет), частично или полностью будет потрачено ею на расширение своего спектра услуг до относительно приемлемого уровня. А конкурентным преимуществом в дальнейшем будет ее достаточно приличный срок присутствия на рынке хотя бы с небольшим (на первых порах) пакетом предложений.
В эту группу №2 вошли представители как "новых", так и "старых" компаний. Поэтому именно она является самой многочисленной и включает около половины всех игроков рынка услуг ИБ. Именно здесь обитают "старые" компании с относительно узким спектром услуг, в частности игроки с достаточно узкой специализацией, обслуживающие государственные структуры (чаще всего такие компании являются ФГУП или НИИ). Однако спектр услуг, являющийся узким для "старой" компании, все же превышает спектр, характерный для "новой" компании.
Здесь максимально высока доля "старых" компаний. При этом часть игроков уже замедляет темпы развития своей деятельности, находя свои ниши на рынке и останавливаясь на наиболее выгодных, с их точки зрения, направлениях.
Почти у всех игроков этой группы в портфеле предложений присутствуют услуги всех типов. В то же время из дополнительной и экспертно-аналитической групп обычно предлагается всего пара услуг. А самой популярной из экспертно-аналитических предложений является анализ информационных рисков, выполнение которого иногда может носить чисто технический характер за счет сведения его к сканированию и анализу уязвимостей. Среди дополнительных услуг наиболее популярными остаются консультационные услуги, уровень оказания которых тоже может быть различен, от чисто технического до экспертного.
Почти треть игроков этой группы являются региональными. Но у этих компаний, в отличие от предыдущей группы, представительств практически нет, зато портфель услуг самый широкий в группе, и половина из них специализируется в области ИБ.
Практически все региональные компании в этой группе, специализирующиеся на области ИБ, относятся к "старым". Видимо, при работе в регионах имеющийся портфель услуг на сегодняшний день является достаточным, поэтому компании расширяют его медленно, тем более не оказываемые ими услуги (и пока мало востребованные) требуют наличия дорогостоящих специалистов и сертификатов.
В последнюю, третью, группу вошли представители только "старых" компаний, из которых всего одна региональная. В портфеле их предложений присутствуют далеко не все услуги, а "пробелы" в основном наблюдаются среди экспертно-аналитических услуг, хотя небольшая часть компаний не оказывает услуг по аутсорсингу, относящихся к группе дополнительных услуг.
За малым исключением все компании этой группы имеют широкую сеть представительств как в России, так и в странах ближнего зарубежья. Отметим, что в большинстве своем они — крупные ИТ-интеграторы, и широкая сеть региональных представительств — залог их успешной работы. Создание региональных представительств у ИБ-интеграторов этой группы также важная стратегическая задача, о которой представители этих компаний заявляют в своих интервью и рекламных материалах.
Статистические характеристики игроков рынка услуг ИБ
Показатель | Группа 1 | Группа 2 | Группа 3 | Среднее |
Диапазон значений коэффициента оказания услуг | от 21% до 50% | от 50% до 71% включительно | более 71% до 86% включительно | от 21% до 86% включительно |
Доля от общего количества игроков | 33% | 49% | 18% | 100% |
Специализация на ИБ | 27% | 41% | 25% | 33% |
Доля "новых" компаний | 100% | 53% | 0% | 60% |
Средний год образования | 1998 | 1996 | 1992 | 1996 |
Доля компаний, имеющих региональные представительства | 23% | 53% | 75% | 47% |
Доля региональных компаний | 32% | 31% | 8% | 18% |
Доля компаний, оказывающих экспертно-аналитические услуги | 9% | 87% | 100% | 66% |
Доля компаний, оказывающих технико-аналитические услуги | 100% | 100% | 100% | 100% |
Доля компаний, оказывающих дополнительные услуги | 55% | 94% | 100% | 84% |
Источник: "Элвис-Плюс", 2008
Интересны данные и по среднему году образования компаний. Так, если между первой и второй группой разрыв составляет два года, то между второй и третьей он увеличивается в два раза. Таким образом, переход из первой группы во вторую более прост, чем из второй группы в третью.
Можно предположить, что со временем одна часть игроков будет продолжать двигаться от группы к группе, а другая сохранит свои позиции, не предпринимая попыток перехода в группу с более широким спектром услуг. Безусловно, что выбор того или иного типа поведения компаний будет зависеть от их стратегических и тактических целей.
Число региональных компаний
Источник: "Элвис-Плюс", 2008
По сравнению с предыдущим исследованием выявлено существенное увеличение числа региональных игроков на рынке услуг ИБ. К настоящему моменту доля таких компаний составляет около 25%, в том числе 75% из них — "новые" компании.
Представительства игроков рынка ИБ
Источник: "Элвис-Плюс", 2008
Московские компании тоже ориентированы на завоевание регионов: у большинства из них, относящихся ко второй и третьей группам, имеются региональные представительства в различных частях России, а также в странах ближнего зарубежья.
Для "москвичей" открытие таких представительств стало одной из важнейших задач по развитию деятельности в ближайшей перспективе. В этом больше повезло ИТ-компаниям, которые не начинают, а продолжают развивать свою сеть. У ИБ-игроков относительно развитая сеть представительств есть только у некоторых компаний из третьей группы.
Очевидно, что создание сетей представительств — это очередной шаг в развитии компании: затратный, но престижный. Наличие представительств сказывается и на спектре предлагаемых услуг. Так, услуги аутсорсинга (достаточно перспективные в обозримом будущем) предлагают в основном компании с развитой региональной структурой. Привлекательность услуг аутсорсинга для удаленных клиентов компании при отсутствии региональных представительств снижается, несмотря на развитие различных каналов связи.
Бесспорным лидером среди региональных игроков является представители Санкт-Петербурга (более половины головных офисов региональных компаний расположено именно там) и, соответственно, Северо-Западный федеральный округ (ФО). Кроме того, этот регион лидирует и по количеству представительств московских компаний.
Пока не во всех регионах наблюдается присутствие локальных игроков рынка услуг ИБ — среди активных участников нет компаний, расположенных в Центральном и Дальневосточном регионах. Скорее всего, это обусловлено тем, что Центральный регион пока достаточно успешно обслуживают московские компании, у которых находится на это силы и время. Дальневосточный регион пока менее активен, видимо, в силу своей удаленности, хотя представительства как минимум четырех московских компаний и одной санкт-петербургской там присутствуют, причем из этих пяти компаний три специализируются исключительно на ИБ.
В отличие от Дальневосточного региона в Центральном ФО не только нет головных офисов, но и почти не наблюдается представительств компаний. Видимо, игроки считают, что смогут обслуживать клиентов этого региона из Москвы. Такое положение дел указывает на отсутствие постоянного потока клиентов, а также насущной необходимости расширять именно здесь свою представительскую и производственную базу (что нецелесообразно в данном регионе по экономическим соображениям).
Поскольку при этом развитие Центрального региона в области ИБ на самом деле идет более быстрыми темпами, чем в большинстве других регионов, можно предположить, что расширение сети представительств для большинства компаний (особенно ИБ-ориентированных) — шаг не столько жизненной необходимости, сколько престижа и "задела на будущее".
Единственной причиной (помимо престижа) может быть сокращение времени допустимого "реагирования" на запросы клиентов. То есть московской компании при отсутствии представительств сложнее будет отреагировать на запрос потенциального "местного" клиента (особенно при необходимости личной встречи).
Около 56% региональных компаний имеют свои представительства в Москве, но лишь у одной из них представительство в странах ближнего зарубежья. Видимо, деятельность региональных игроков в первую очередь все-таки направлена на решение вопросов именно в своем регионе. Лишь четвертая часть региональных игроков относят себя к ИБ-интеграторам.
Сравнение региональных и московских компаний
Показатель | Значение для региональных компаний | Значение для московских компаний |
Доля от общего количества игроков | 26% | 74% |
Диапазон значений коэффициента оказания услуг | 21% — 79% | 21% — 86% |
Специализация на ИБ | 25% | 33% |
Доля "новых" компаний | 75% | 52% |
Доля компаний, имеющих представительства | 67% | 42% |
Соотношение по группам (группа 1 — группа 2 — группа 3) | 39% — 55% — 6% | 31% — 46% — 23% |
Средний год образования | 1995 | 1996 |
Доля компаний, оказывающих экспертно-аналитические услуги | 61% | 65% |
Доля компаний, оказывающих технико-аналитические услуги | 100% | 100% |
Доля компаний, оказывающих дополнительные услуги | 72% | 85% |
Источник: "Элвис-Плюс", 2008
Кроме того, во многих случаях сама компания (или направление у ИТ-интегратора) создавалась изначально "под крупный проект" — обычно в информационных материалах таких компаний при описании опыта работ обязательно упоминается один — два крупных проекта, относящихся к периоду выхода компании на рынок.
Полный перечень услуг и их классификация были определены в предыдущем исследовании и оставлены без изменений, так как абсолютное большинство встречающихся в предложениях компаний названий услуг приблизительно совпадает.
Виды услуг в сфере информационной безопасности
Источник: Элвис-Плюс, 2008
Цены на услуги в сфере ИБ, даже примерные, по-прежнему не афишируются ни у "старых", ни у "новых" игроков рынка, поэтому эти оставлены за рамками нашего исследования.
Для оценки отдельных видов услуг (как и для оценки компаний) был введен специальный показатель — коэффициент популярности услуг (КПУ), характеризующий распространенность услуги среди компаний-игроков рынка. Для отдельной услуги данный коэффициент рассчитывался как доля компаний в выборке, предлагающих эту услугу.
КПП "старых" и "новых" компаний
Источник: "Элвис-Плюс", 2008
Особенно интересны результаты оценки данного коэффициента, выполненные в двух срезах — с учетом времени появления компаний как активных участников рынка услуг ИБ ("старые" и "новые" компании) и с учетом позиционирования компании (ориентация на сферу ИТ или ИБ).
КПП ИТ и ИБ компаний
Источник: "Элвис-Плюс", 2008
Как видно из графиков, первенство по распространенности продолжает удерживать группа технико-аналитических услуг, и вряд ли какая-либо из оставшихся групп сможет в ближайшем будущем составить ей конкуренцию. Рассмотрим каждую из групп услуг отдельно.
Технико-аналитические услуги, образующие "базовое ядро" услуг, как уже говорилось ранее, активно предлагаются практически всеми участниками рынка независимо от их специализации. Причин такой распространенности услуг несколько. Во-первых, рынок ИБ начинал формироваться с технической составляющей, а внедрение средств защиты требовало оказания хотя бы минимально необходимого набора услуг.
Во-вторых (что частично вытекает из первого), эти услуги носят универсальный характер, поэтому их предложение не зависит от специализации (профиля деятельности) компаний: они могут оказываться как компаниями, специализирующимися на ИБ, так и ИТ-компаниями. Заметим, что ранее наличие этих услуг в спектре предложений компании рассматривалось как одно из важнейших условий для выхода ее на рынок.
Однако, как показывают результаты этого исследования, для новых игроков предложение услуг "базового ядра" сейчас перестает быть обязательным условием выхода на рынок, что подтверждается лидерством направления консалтинга в группе дополнительных услуг для "новых" компаний. Так, по сравнению с предыдущим исследованием появился целый ряд игроков, недавно заявивших о себе на рынке услуг ИБ, ориентирующийся в первую очередь на предоставление именно консалтинговых услуг и позиционирующих себя соответствующим образом. Это свидетельствует о значительном повышении ценности консалтинговых и экспертных услуг для заказчиков, а, следовательно, и о повышении уровня зрелости в подходе к решению вопросов ИБ.
Тем не менее в целом по рынку предложение "старых" и "новых" компаний в части технико-аналитических услуг не сильно различается. На общем фоне группы выделяется лишь аудит ИБ (ТА1), где различие в предложении между "старыми" и "новыми" компаниями все-таки заметно. Проведение комплексного обследования (аудита) предполагает привлечение не только технических специалистов, но и экспертов, имеющих соответствующую квалификацию, а о сложностях с привлечением персонала соответствующего уровня компетенции уже говорилось выше. При этом большинство компаний предлагает теперь различные виды аудита, такие как "экспертный" и "инструментальный", а также варианты экспресс-обследования.
Развитие услуг аудита также представляет особый интерес. Все чаще от аудиторов требуется наличие специфических знаний и дополнительной подготовки в связи с требованиям стандарта Банка России, ISO/IEC 27001, PCI DSS и т.д.
При этом развитие услуг аудита, ориентированных на финансово-кредитные организации, связано с более серьезными требованиями к безопасности в этой отрасли, а, следовательно, и более высокому уровню зрелости этих организаций с точки зрения информационной безопасности. К тому же использование стандарта СТО БР ИББС-1.0-2006 активно поддерживается Банком России и сообществом ABISS. Хотя стандарт пока еще носит рекомендательный характер, многие банки уже внедряют изложенные в нем подходы, тем более в большинстве своем они схожи с положениями стандартов ISO/IEC 27001 и ISO/IEC 27002.
Кроме того, зачастую аудит на соответствие требованиям стандарта ISO/IEC 27001 предлагается в рамках услуги по сертификации (ЭА5) системы управления информационной безопасности (СУИБ). При этом компания-консультант выполняет предварительный аудит, по результатам которого определяются пути приведения СУИБ в соответствие с требованиями стандарта. А аккредитованный орган по сертификации (например, BSI, LRQA и др.) проводит сертификационный аудит, в случае положительных результатов которого выдается "сертификат соответствия". Благодаря разделению между разными компаниями этапов подготовки к сертификации и проведения сертификационного аудита обеспечивается объективность решения о выдаче сертификата.
Требования указанных выше стандартов предполагают наличие в компаниях хорошей организационно-распорядительной базы. Таким образом, популяризация идей стандартов стимулирует развитие услуг по разработке документов, регламентирующих вопросы обеспечения ИБ (ТА2). Эти услуги часто указываются в предложениях компаний как дополнение к аудиту ИБ. Можно прогнозировать, что со временем произойдет объединение этих услуг в единый комплекс.
Примечательно, что в своих предложениях игроки рынка ИБ перестали акцентировать внимание на установке и настройке программно-технических средств (ТА4). Видимо, эта услуга стала дополнять работы по проектированию и как самостоятельная предлагается все реже.
В отличие от технико-аналитических, в предложении экспертно-аналитических услуг "новые" компании значительно проигрывают "старым". Очевидно, что оказание услуг данной группы во многом основывается на авторитете, репутации и наличии практического опыта у исполнителей. Компании, давно работающие на рынке, уже успели завоевать доверие клиентов, а отношение к "новым" компаниям пока еще настороженное. И на это отношение не всегда сможет повлиять даже переход в штат "новых" компаний известных в сфере ИБ экспертов. Определенное недоверие к компании, присутствующей на рынке услуг "без году неделя", во многом объясняется еще и менталитетом российских потребителей, неоднократно пострадавших от новых компаний в других сферах жизни.
Если рассматривать предложение экспертно-аналитических услуг с учетом специализации игроков, то заметно превалирование в данной группе компаний, ориентированных на ИБ. Единственная услуга, которая более активно предлагается ИТ-компаниями, — анализ информационных рисков (ЭА1). Отношение к этой услуге на рынке весьма специфическое и заслуживает отдельного внимания.
Развитие бизнес-ориентированного подхода и реализация положений международных стандартов, в которых оценка рисков рассматривается как основа для принятия дальнейших решений, поддерживают высокий интерес к данной услуге. Тем не менее, несмотря на сравнительно высокий уровня спроса на эту услугу, компании весьма осторожно относятся к ее предложению, так как сказывается и отсутствие отработанных методик, и достаточного опыта, а также растущие требования со стороны заказчиков.
Видимо, по этим причинам анализ рисков так и не вошел в "базовое ядро" услуг и все чаще предлагается не как самостоятельная услуга, а входит в состав услуг по аудиту ИБ. Однако "новые" компании часто включают анализ рисков в свой спектр предложений, поскольку делают ставку на более прогрессивные и модные направления рынка услуг ИБ.
Такие услуги, как аттестация объектов информатизации (ЭА2) и сертификационные испытания оборудования и ПО (ЭА4), остаются в основном прерогативой компаний, специализирующихся на ИБ. Для их предоставления требуется наличие аттестата аккредитации и испытательной лаборатории. Для ИТ-компаний наличие собственной базы для оказания этих услуг в большинстве случаев нецелесообразно: им намного выгоднее привлекать на условиях субподряда специализированные компании.
В предложениях услуг все чаще можно встретить упоминание о расчете различных экономических показателей ТСО, ROI, ROSI и т.д. На развитие услуг по обоснованию и экономической оценке ИБ-решений (ЭА3), безусловно, влияет вовлечение руководства в этот процесс. Постепенный переход обеспечения ИБ в разряд бизнес-функций, как и возросшая конкуренция на рынке ИБ, позволяющая делать выбор из предлагаемых альтернатив, делает проведение экономических оценок необходимым мероприятием. Однако по-прежнему остается открытым вопрос качества данных услуг.
Сокращается доля компаний, предлагающих экспертизу проектов и решений (ЭА6). Данная услуга не указана ни в одном из предложений "новых", только вышедших на рынок, компаний.
Как уже отмечалось, для оказания услуг экспертно-аналитической группы необходимо участие квалифицированных специалистов часто с непрофильным для ИБ образованием (например, экономическим или юридическим), либо обладающих необходимыми сертификатами. Очевидно, что за прошедшие полтора года количество высококвалифицированных специалистов для оказания такого рода услуг вряд ли могло значительно увеличиться, и теперь потенциальному заказчику приходится более тщательно выбирать исполнителя.
Для группы дополнительных услуг характер предложения в значительной степени зависит от времени присутствия компаний на рынке, при этом на него практически не влияет специализация компаний. Видимо, оказание услуг этой группы услуг основывается в первую очередь на наличии у исполнителя необходимой базы, создание которой требует значительного времени.
Во-первых, для оказания консультационных услуг требуются специалисты, обладающих не только знаниями в соответствующей сфере, но и презентационными навыками, умением общаться с клиентами.
Во-вторых, для оказания услуг аутсорсинга необходимо определенное количество клиентов, у которых компания уже реализовала крупные проекты. Это направление развивается пока именно по такому пути, что объясняется недостатком доверия со стороны заказчиков к сторонним организациям. При этом в предложении этой услуги ИТ-компании опережают участники рынка, специализирующиеся на ИБ.
И наконец, для проведения обучения компании как минимум необходима организация учебного центра (или договоренность с какой-либо учебной организацией).
Таким образом, в настоящее время наиболее активно предлагаются консультационные услуги (Д1, Д2). Обычно детальная классификация этого рода услуг по направлениям технических, нормативных и правовых вопросов в предложениях компаний отсутствует, а основным направлением по-прежнему является решение технических вопросов (Д2).
Среди дополнительных сервисов особенно выделяются услуги по обучению (Д3). Для данного направления также наблюдается ограниченность предложения, обусловленная, помимо прочего, сложностями в создании и содержании специализированных учебных центров. Поэтому многие компании ограничиваются проведением обучения по использованию продуктов собственного производства или продуктов, предлагаемыми партнерами, а также организацией или участием в профессиональных конференциях и семинарах.
Как перспективное направление развития рынка услуг ИБ выделяются услуги по обеспечению непрерывности бизнеса (BCM). Управление непрерывностью бизнеса хотя и взаимосвязано с вопросами обеспечения информационной безопасности, но ими не ограничивается. Тем не менее все чаще и чаще в предложение BCM рассматривается в разделах, посвященных ИБ. Интерес к данным услугам дополнительно подогревается выходом нового стандарта BS 25999 (хотя он пока еще не стал международным).
Еще одна новая тематика, активно обсуждающаяся последнее время, — вопросы обеспечения безопасности персональных данных и соответствия требованиям федерального закона № 152-ФЗ "О персональных данных". Участники рынка уже сейчас включают в свои предложения услуги по обеспечению выполнения данных требований, хотя многое еще законодателем не прописано.
Во-первых, существует значительный разрыв между спросом и предложением для технико-аналитических услуг. Предложение сервисов этой группы значительно превышает спрос. Частично это объясняется тем, что большинство компаний уже построило свои ИТ-инфраструктуры, тем или иным образом учитывая требования к обеспечению ИБ. А очередной волны спроса следует ожидать только при проведении модернизации этих информационных систем, для чего должно значительно устареть программно-аппаратное обеспечение либо сама структура должна начать давать сбои, причем достаточно ощутимые для организации.
Соотношение предложение и спроса на рынке ИБ-сервисов
Источники: "Гротек", "Элвис-Плюс", 2008
Исключением в группе технико-аналитических услуг является услуга по установке и настройке программно-технических средств (ТА4), где предложение не так сильно превышает спрос. Возможно, причина кроется в постоянном развитии технологий защиты и стремлении компаний использовать новинки, для внедрения которых подготовки штатных сотрудников часто не хватает и требуется привлечение сторонних специалистов.
Во-вторых, неоднозначная ситуация сложилась вокруг спроса на услуги экспертно-аналитической группы. Для большинства услуг спрос либо превосходит предложение, либо совпадает с ним. Наиболее высоким спросом среди экспертно-аналитических услуг пользуются сервисы по аттестации объектов информатизации (ЭА2) и сертификационные испытания оборудования и ПО (ЭА4).
Предложение по технико-экономическому обоснованию и экономической оценке решений (ЭА3) также постепенно начинает пользоваться спросом. У нее, как и у услуги по экспертизе проектов и решений (ЭА6), существующий уровень предложения соответствует спросу. Однако если в первом случае можно прогнозировать рост как спроса, так и предложения, то судьба второй услуги пока не ясна.
В-третьих, среди дополнительных услуг значительное превышение спроса над предложением наблюдается для обучения (Д3), что свидетельствует о дефиците подготовленных кадров. Это, собственно, и вынуждает компании самостоятельно вкладывать средства в обучение специалистов, в том числе из-за появления новых технологий и необходимости постоянного повышения квалификации. Видимо, дефицит кадров вызван отсутствием достаточной подготовки в вузах (при получении базового высшего образования) И, как следствие, востребованностью специализированных курсов, которые максимально приближены к практике и успевают следовать за развитием современных технологий. О других причинах ограниченности предложения этой услуги говорилось выше.
И наконец, среди дополнительных услуг лишь для аутсорсинга (Д4) зафиксировано превышение предложения над спросом — т.е. компании готовы оказывать данные услуги, но отдавать на аутсорсинг такие критичные функции, как обеспечение ИБ, в России пока мало кто решается.
Таким образом, видно, что стабильного положения пока не наблюдается ни в одной из групп услуг, что говорит о наличии стимулов дальнейшем развития и изменения рынка, поскольку его стабилизация пока не достигнута.
Анна Соколова, Ирина Филиппова